Fortifier le réseau. Renforcer les terminaux. Sécuriser les applications. Protéger le cloud contre un déluge d’assauts. La to-do-list des RSSI n’en finit pas. Dans sa globalité, le secteur de la sécurité investit des milliards pour rétablir le rapport de force face à des menaces variées, qui vont du malware traditionnel aux attaques sophistiquées dopées à l’IA générative (GenAI).
Mais en cybersécurité, le risque zéro n’existe pas. Car quoi que vous fassiez, une faille persiste. Et cette faille est d’autant plus dangereuse qu’elle échappe à votre contrôle. Nous parlons bien entendu des écosystèmes tiers, et de leurs ramifications tentaculaires. Fournisseurs, sous-traitants, distributeurs, revendeurs, prestataires et même clients… tous ces acteurs forment une chaîne par laquelle circulent les biens et les services. Or, chacun de ses maillons représente un point d’entrée potentiel pour les attaquants. Car la solidité de votre défense se mesure à la résistance de son maillon le plus faible. Et vos adversaires l’ont bien compris.
Vous vous croyez peut-être à l’abri ? Rien n’est moins sûr. Oui, bon nombre d’entreprises incluent le risque tiers dans leurs audits. Oui, elles utilisent le reporting de conformité comme référence pour mesurer la sécurité de leurs fournisseurs. Mais ne nous voilons pas la face : il ne s’agit là que de formalités administratives, pas de sécurité.
Ce n’est pas la première fois que tant d’entreprises font preuve de complaisance face au risque. Il y a dix ans environ, nous mettions déjà en garde contre ce même faux sentiment de sécurité qu’inspiraient les environnements virtuels. Car à l’époque, si la moindre composante de l’architecture n’était pas à jour, tout le système était intrinsèquement vulnérable. L’histoire se répète : face aux risques tiers, les approches statiques sont dépassées. Pire encore, elles mettent votre entreprise en danger. La protection de la supply chain doit devenir une priorité. Il en va de votre sécurité.
Données temps réel et vigilance non-stop : deux impératifs absolus
Le suivi, la gestion et la maintenance de la sécurité des supply chains ne doivent pas être traités de façon sporadique, mais selon une approche continue et « always-on ». Les audits statiques et les revues de conformité annuelles suffisent pour satisfaire les autorités de réglementation, mais ils font peu pour stopper les exploits zero-day ou l’effet domino d’une compromission d’un sous-traitant. Chaque rouage du mécanisme doit offrir une protection de pointe pour éviter les attaques susceptibles de paralyser toute votre supply chain. L’édition 2025 du rapport Unit 42 sur la réponse à incident met en lumière l’importance d’inscrire cette sécurité dans la continuité. Dans 75 % de nos investigations, nous avons découvert des preuves déterminantes de l’intrusion initiale dans les journaux. Et pourtant, faute d’intégration des systèmes complexes en place, ces signaux faibles n’ont été ni détectés, ni opérationnalisés, laissant les attaquants libres d’exploiter les failles sans se faire repérer. Ces observations montrent que si des indices sont bien présents, les approches traditionnelles passent souvent à côté.
Ce n’est pas la première fois que nous sommes confrontés à cette problématique, et ce ne sera sûrement pas la dernière. Malgré les leçons tirées de ces attaques, trop d’entreprises continuent de traiter le risque tiers comme une simple case à cocher tous les ans par leur services achats. Elles ne prennent pas la mesure de cette surface d’attaque en constante mutation.
Une erreur qui peut leur coûter cher. Votre calendrier d’audits ne pèsera pas bien lourd face à des attaquants qui peuvent frapper votre supply chain à tout moment. Ils sont toujours à l’affût. Et vos défenses doivent l’être aussi.
Risques tiers : des solutions existent
Une vérification ponctuelle des fournisseurs ne suffit pas. Les RSSI doivent engager une transition vers un suivi continu des risques tiers. Une stratégie absolument indispensable pour éviter les perturbations opérationnelles et les remontrances du Comex… sans parler des comptes à rendre aux autorités de réglementation qui voudront savoir pourquoi certaines vulnérabilités n’ont pas été corrigées.
Cela fait bien trop longtemps que les entreprises s’en remettent exclusivement à des audits statiques et des évaluations de conformité ponctuelles. Aujourd’hui, les attaques évoluent à vitesse machine et les approches d’hier ne font plus le poids face aux risques actuels. Les entreprises ont donc besoin d’une visibilité ultra précise et en temps réel sur les vulnérabilités d’une supply chain en mutation constante.
Plus facile à dire qu’à faire. Cette approche requiert du temps, des outils, des compétences… et de lourds investissements. Fort heureusement, les RSSI ont deux nouvelles alliées de poids dans leur camp : l’IA et l’automatisation. La GenAI, les modèles prédictifs et le machine learning avancé sont parfaitement rodés à cet exercice. L’IA passe au crible de vastes quantités de données (incidents antérieurs, divulgations, certifications, signes comportementaux). Sur la base de ces éléments, elle attribue un profil de sécurité à chaque fournisseur de votre écosystème et le met à jour au fil du temps. Elle suit également les changements en matière de posture de sécurité, signale les risques émergents et génère un score de risque précis et quantifiable.
L’automatisation agit ensuite comme le relais de l’IA. Dans un secteur de la cybersécurité frappé par une pénurie de talents, l’automatisation démultiplie l’efficacité de vos équipes. Elle permet d’évaluer en continu les risques tiers et d’accélérer la réponse en cas d’anomalie. Quant aux analyses sophistiquées et contextualisées, elles vous aident à identifier et à neutraliser les attaquants avant qu’ils puissent se déplacer latéralement dans votre environnement.
L’efficacité doit être votre nouveau mot d’ordre à l’heure où quelques minutes suffisent à un attaquant pour s’infiltrer dans vos systèmes. Le tri automatisé des alertes peut donc faire toute la différence entre une menace contenue et une compromission à grande échelle. Quand chaque seconde compte, vous ne pouvez pas vous permettre de perdre du temps à parcourir à la main des dizaines de tableurs. Vos systèmes de sécurité pilotés par IA doivent détecter, décider et neutraliser en temps réel.
Agir avant la compromission
Les RSSI ne peuvent plus faire aveuglément confiance à leurs fournisseurs. Dans cette nouvelle ère, la sécurité doit être intransigeante : elle impose une visibilité inégalée, une évaluation en temps réel et une responsabilisation de chaque prestataire, chaque sous-traitant, chaque partenaire et chaque maillon de la supply chain.
Le risque tiers doit s’inscrire dans une approche holistique de la cybersécurité. Plus question de le déléguer au service achats ou aux équipes de conformité. Il doit devenir l’affaire de tous, y compris du Comex. Ce dernier doit comprendre à quel point la sécurité de la supply chain contribue à la résilience de l’entreprise dans son ensemble. En ce sens, il doit s’assurer que le risque tiers est inclus dans la gestion globale des risques, le plan de continuité des activités et les processus de mise en conformité. Face à ces menaces d’un nouveau genre, le moindre attentisme peut avoir des conséquences catastrophiques. Renforcez dès aujourd’hui votre résilience pour neutraliser les risques.
Vous voulez en savoir plus ? L’équipe Unit 42 vous aide à évaluer les risques de votre supply chain.
